Aktualności

UWAGA! SpyEye w PDF atakuje polskich internautów!

Data publikacji: 06/04/2011, CERT Polska

SpyEye PDF

Dzięki współpracy polskich zespołów bezpieczeństwa, związanych inicjatywą Abuse-Forum, udało się wykryć oraz przeanalizować nowe zagrożenie. Od 03.04.2011 do polskich internautów trafia wiadomość e-mail zawierająca w załączniku złośliwy dokument PDF. Z analiz przeprowadzonych przez CERT Polska wynika, że po otwarciu załączonego pliku komputer zostaje zainfekowany złośliwym oprogramowaniem SpyEye. Oprogramowanie to wykrada poufne informacje wprowadzane przez użytkownika na stronach internetowych (w tym systemach bankowości elektronicznej).

POD ŻADNYM POZOREM NIE NALEŻY OTWIERAĆ ZAŁĄCZNIKA!
Wiadomość taką dla bezpieczeństwa należy skasować. Można ją przekazać do laboratorium CERT Polska wysyłając na adres [email protected]

Jak rozpoznać złośliwą wiadomość ?

Czytaj więcej

Slammer nie żyje!

Data publikacji: 23/03/2011, TomaszG.

Wygląda na to, że w czwartek 10. marca 2011 roku pożegnaliśmy (oby na zawsze!) obecnego w Internecie od 2003 roku uciążliwego robaka SQL Slammer. Ruch sieciowy będący efektem jego działania przestał być widziany przez sondy systemu ARAKIS. Wcześniej nieprzerwanie należał on do ścisłej czołówki zagrożeń rejestrowanych przez system od początku istnienia ARAKIS-a. Nagłe i niespodziewane zniknięcie robaka zostało także odnotowane przez zagraniczne serwisy, m.in. ISC SANS.
Przypomnienie, co to jest robak SQL Slammer (cytat z naszego newsa pt. „20. rocznica robaka internetowego – czas na podsumowania i wnioski (cz.1)” z 5 listopada 2008):

Czytaj więcej

CERT Polska publikuje Raport Roczny 2010

Data publikacji: 15/03/2011, przemek

CERT Polska

W raporcie z pracy zespołu CERT Polska prezentujemy i omawiamy statystyczny obraz zagrożeń dotyczących polskich sieci w 2010 roku. Opisujemy także najciekawsze naszym zdaniem zjawiska i wydarzenia, które pojawiły się lub mocno zaktywizowały w tym okresie. Po raz pierwszy znaczną część raportu zajmują analizy dokonane na podstawie nie tylko incydentów obsłużonych przez nas ręcznie w systemie zgłoszeń, ale przede wszystkim ponad 12 milionów informacji, które otrzymujemy z różnego rodzaju systemów, zarówno własnych jak i zewnętrznych. Jest to naszym zdaniem wyjątkowo miarodajny obraz, zarówno ze względu na ogrom wykorzystanych informacji i wielość źródeł, jak i fakt, że dotyczą one praktycznie całej polskiej przestrzeni adresowej.Czytaj więcej

Halo, tu ZITMO – czyli jak usunąć malware z telefonu.

Data publikacji: 04/03/2011, CERT Polska

zeus_zitmo2

Parę dni temu opisywaliśmy lutowy atak ZeuSa oraz ZITMO, który skierowany był na klientów polskich banków. Jest to nowa strategia ataku polegająca na zainfekowaniu nie tylko komputera ale również telefonu ofiary. Komunikacja zainfekowanego telefonu z C&C (centrum zarządzania) odbywa się poprzez wiadomości SMS wysyłane na określony numer. Atakujący ma możliwość np.: całkowicie zablokować możliwość wykonywania oraz odbierania rozmów, czy też przekierować wszystkie przychodzące wiadomości SMS na jego numer (wiadomości te nie są widoczne na telefonie ofiary). Podczas analizy zebranych próbek CERT Polska znalazł trzy różne numery telefonów. Wszystkie pasują do schematu: +44778148****.

  Jedną z możliwych (i skutecznych) kuracji telefonu jest FACTORY RESET. Przywraca on urządzenie do stanu „pierwotnego”, tym samym usuwając szkodnika z pamięci. Niestety usuwa również wszystkie inne informacje i ustawienia zapisane w telefonie. W przypadku infekcji komputera dostępna jest instrukcja usunięcia ZeuSa umieszczona na stronie banku ING.

Poniżej zamieszczamy krótki opis każdego z „gatunków” lutowego ZITMO:

Czytaj więcej

Nowe zagrożenie: ZITMO atakuje!

Data publikacji: 23/02/2011, CERT Polska

zitmo1

ZeuS jest „popularnym” oprogramowaniem szpiegującym. Jego szczegółową analizę można znaleźć w artykule Analiza bota Zeus na naszej stronie. ZITMO, czyli Zeus In The Mobile jest nowym zagrożeniem, które w ciągu ostatnich tygodni pojawiło się w Polsce. Jest to nowa odmiana ZeuSa przeznaczona na telefony komórkowe. Główne niebezpieczeństwo związane jest z możliwościami jakie daje zainfekowanie telefonu. Atakujący może czytać oraz modyfikować informacje zawarte w SMS – np: kody autoryzacji transakcji czy wiadomości potwierdzające wykonane operacje bankowe. Pierwsze informacje dotyczące nowego ataku pojawiły się na stronie banku ING.

Czytaj więcej

Złośliwe pliki Flash

Data publikacji: 08/02/2011, CERT Polska

Pliki Flash, pomimo zbieżności nazwy, nie mają nic wspólnego z przenośnymi pamięciami USB. Flash to zwyczajowe określenie na pliki o rozszerzeniu .swf, przenoszące animacje oraz zapewniające pewien poziom interaktywności. SWF, z angielskiego wymawiane swiff, początkowo przenosiły wyłącznie grafiki wektorowe, lecz szybko okazało się, że jest zapotrzebowanie na coś więcej. Kiedy w 1996 roku firma Macromedia zaprezentowała FutureSplash Animator, program do tworzenia animacji wektorowych, nikt nie spodziewał się, że efekt pracy kilkunastu osób zwróci uwagę takiego giganta jak Microsoft. Niewątpliwie, wykorzystanie technologii Flash do realizacji stron MSN czy Disneya, wpłynęło bardzo pozytywnie na dalszy rozwój tego nieformalnego standardu animacji internetowych.

Czytaj więcej

Próby przejęcia kont Yahoo!?

Data publikacji: 26/01/2011, TomaszG.

System ARAKIS od piątku 21. stycznia obserwuje w swoich honeypotach wzrost ruchu HTTP na nietypowym porcie 9415/TCP. Są to zarówno żądania GET jak i POST do serwerów w domenie yahoo.com. Na pierwszy rzut oka wygląda to jak typowe i widziane wielokrotnie w systemie ARAKIS ślepe skanowania w poszukiwaniu open web proxy (atakujący wysyła losowo na różne porty i różne adresy polecenia HTTP GET {adres_popularnego_serwisu} i bada odpowiedzi – jeżeli otrzyma żądaną stronę, to wie, że trafił na publicznie dostępny serwer web proxy). Podobnie w przypadku metody POST, gdzie następuje próba przesłania danych najczęściej z jakiś formularzy znajdujących się na stronie. Po bliższej analizie okazało się jednak, że to nie są zwykłe poszukiwania proxy, ale coś ciekawszego i bardziej skomplikowanego.

Czytaj więcej

Analiza bota Zeus

Data publikacji: 11/01/2011, CERT Polska

Zeus jest jednym z największych botnetów funkcjonujących obecnie w Internecie. Boty Zeusa – Zboty – to konie trojańskie wyspecjalizowane w kradzieży danych. Jeśli komputer użytkownika jest zainfekowany, bot rejestruje loginy i hasła użytkowników próbujących zalogować się do serwisów banków internetowych, instytucji finansowych lub sklepów. Dodatkowo, infekcja powoduje, że zabezpieczenia typu SSL są zupełnie bezużyteczne, ponieważ boty ingerują w węwnętrzne mechanizmy przeglądarek, które informują o nawiązaniu bezpiecznego połączenia. Zespół CERT analizował i przygotował raport na temat pozyskanej próbki bota Zeusa.

Czytaj więcej

Nowy rok, nowe ataki

Data publikacji: 04/01/2011, TomaszG.

Od początku stycznia grupa serwerów DNS zalewana jest pytaniami ze sfałszowanymi adresami IP nadawcy. Echa tych ataków widziane są w systemie wczesnego wykrywania zagrożeń sieciowych ARAKIS. W ruchu sieciowym pozyskanym do tej pory zidentyfikowaliśmy ok. 20 atakowanych serwerów DNS należących m.in. do Dynamic Network Services (znany jako DynDNS), Verisign, GoDaddy, eNom, Hurricane Electric, TelecityGroup, czy SoftLayer Technologies.

Czytaj więcej